按時間段在cisco路由器上使用NBAR封堵BT,電驢流量
作者:Bob
關鍵字:cisco NBAR BT 電驢 封堵 按時間
#加載pdlm文件(pdlm保存在flash裏,此文件可在cisco網上下載)
ip nbar pdlm bittorrent.pdlm
ip nbar pdlm edonkey.pdlm
!
#定義流量 //由於policy-map目前沒有基於時間的命令,故與ACL結合,實現按時間段控制流量
class-map match-all bt //其中必須使用match-all,如果使用match-any的話,將起不到任何作用
match protocol bittorrent //在這裏的意思是必須符合bittorrent協議並且符合ACL 111定義的流量能會被匹配
match access-group 111
!
class-map match-all edonkey
match protocol edonkey
match access-group 111
!
!
#定義policy map
policy-map mymap
class edonkey
drop
class bt
drop
#將policy-map應用到接口上
interface GigabitEthernet0/1
description Link to Lan
ip address XX.XX.XX.XX 255.255.255.0
service-policy input mymap //注意應用的方向
#建立ACL
access-list 111 deny ip host xx.xx.xx.xx any //對於此機器不實行BT,電驢封堵
access-list 111 permit ip any any time-range dropbt //對所有其它的機器在工作時間內實行BT,電驢封堵
#建立時間範圍,這表示從週一到週五上午6點到下午6點,一般是工作時間
time-range dropbt
periodic weekdays 6:00 to 18:00 //注意NBAR只會對新建連接實行封者策略,所以到6點後對於原來使用bt,電驢等連接不會立即斷開,但一旦斷開後將不會再連接上。所以應該在時間上做好考慮。
